Информационная безопасность в строительной отрасли
Прошлый год для строительной отрасли России стал знаковым. Ростехнадзор разрешил использование наравне с бумажными электронных документов, подписанных усиленной квалифицированной электронной подписью (ЭЦП), а Главгосэкспертиза перешла на приём проектной документации в электронном виде. Эти два важных события позволили говорить о том, что цифровизация в строительной отрасли России стала реальностью, пишет ancb.ru.
Те строительные компании, которые, опираясь на мировую практику, ранее по собственной инициативе переходили на «цифру», на своём опыте убедились: электронный документооборот и проектирование с использованием специализированного софта имеют преимущества перед документооборотом на бумаге. К примеру, цифровой документ, попавший в систему, невозможно потерять и уничтожить. Работать и подписывать его можно удалённо, причём ЭЦП точно покажет время подписи и подтвердит личность подписанта.
Несмотря на преимущества, говорить о том, что вся отрасль в одночасье перейдёт с бумаги на цифровой документооборот, нельзя. В подавляющем большинстве люди, которые сейчас принимают решение, довольно далеки от современных IT-технологий, и, не вникая в принципы действия специализированного софта, испытывают к нему недоверие. Здесь даже пункт договора с гарантиями сохранения конфиденциальности и неразглашении третьим лицам не всегда бывает достаточным аргументом. Поэтому стоит немного подробнее посмотреть, как сейчас решается вопрос с безопасностью мобильных решений для строительства, и можно ли им доверять конфиденциальную информацию.
Безопасность – это серьезно
Вопрос о том, почему безопасности уделяется большая роль в принятии решения, очевиден. Это не только хранение коммерческой тайны и другая конфиденциальная информация. Речь идет и о физической безопасности пользователей объекта во время эксплуатации. Трудно представить масштаб последствий, если особенности конструкций зданий общественного пользования попадут в руки террористов. Именно поэтому многие строительные организации задаются вопросом о необходимости получения специальных лицензий ФСБ. На самом деле такая лицензия нужна только определённому виду компаний, которые занимаются специфическими разработками, в частности – создают ключи шифрования, какие-то криптосистемы, то есть системы шифрования. В привязке к отрасли это может быть некая база российских данных, которую можно купить и передать третьим лицам. Вот в этом случае придется получать разрешение ФСБ. В большинстве же случаев можно опираться на классификатор средств защиты информационных систем ФСТЭК. В Федеральной службе по техническому и экспортному контролю принято 5 уровней, где 5 – минимальный, а 1 – максимальный. В последнем случае речь идет о государственной тайне. Как правило, в строительной отрасли достаточно первых трех уровней, с которыми работает большинство поставщиков ИТ-оборудования. Однако встречаются и более секретные данные. К примеру, для применения программного комплекса на объектах нефтегазового сектора компании «Мобильные решения для строительства» необходимо было подтвердить 4 класс секретности, и это скорее исключение, чем правило.
Сейчас во всём мире в 99,9% случаев требованиям предприятий строительной отрасли по уровню безопасности удовлетворяет технология передачи данных по шифрованному каналу https. Стандарт широко применяется во многих отраслях. Показательно, что именно его применяют в банковской сфере.
Несмотря на это, в России есть разработанные стандарты информационной безопасности, так называемые ГОСТы, и они применяются на предприятиях с государственным участием. К примеру, ГОСТ Р ИСО/МЭК 15408 содержит перечень требований, по которым можно сравнить результаты независимых оценок безопасности, благодаря которым заказчик с государственным участием принимает решение о безопасности продукта.
Где хранятся цифровые документы
Процесс строительства, эксплуатации или капитального ремонта объекта – это сложный комплекс работ, состоящий из множества этапов. Он описывается огромным массивом документов, включая чертежи, сметы, переписку с поставщиками, подрядчиками, контролирующими органами и т.д. Понятно, что каждый документ крайне важен, и поэтому таким острым является вопрос гарантий их сохранности при переходе на «цифру». И важнейший вопрос – как и где физически хранится весь этот массив данных. Рассмотрим, как решают этот вопрос крупные игроки, на долю которых приходится львиная доля внедрения программного продукта в России, – в проектировании и в управлении проектной документацией в целом это мировые лидеры Autodesk и их российские аналоги «Нанософт» и «Аскон», в сфере строительного контроля – отечественная компания «Мобильные решения для строительства».
На данный момент практически у всех профессионально исполненных программных продуктов для строительства есть два варианта итогового размещения: на серверах заказчика и на серверах, предоставленных разработчиком, либо даже в «облаке». У каждого решения есть свои нюансы, свои плюсы и минусы.
Крупные компании, обладающие необходимыми аппаратными и людскими ресурсами, как правило, предпочитают размещение программного продукта в своей внутренней локальной сети. В итоге компания получает несколько уровней защиты, поскольку помимо встроенных в продукт систем сохранения информации, администрирование и безопасность контролируется собственным IT-отделом. Именно он, исходя из интересов компании, решает и ключевой вопрос о предоставлении сотрудникам прав доступа.
Развитие технологий позволяет сделать не менее безопасным и удалённое размещение документов. Здесь есть две составляющие: сохранность документов при доставке до удалённых серверов и хранение информации на удалённом сервере. Как правило, под каждую конкретную организацию выделяется отдельное рабочее пространство, изолированное от других организаций. Это позволяет исключить передачу информации кому-либо помимо тех лиц, кому администраторы строительной компании выдали соответствующие права. Также при выборе поставщика стоит проверить оффлайн-режим. Когда речь идет о стройке промышленных объектов в труднодоступном месте, это становится первой необходимостью, так как в данном случае не стоит полагаться на мобильный интернет. Должна быть реализована возможность документ, подготовленный на стройке, сохранить в систему позже. А позже, когда интернет станет доступен, информация будет скопирована на сервер. Это стандарт для нормальных, профессионально сделанных решений.
Хакеров много, а бизнес один
Киберпреступность сейчас достигла небывалых высот. Ежедневно появляются новые серьезные угрозы, и «подстелить соломку» заранее, не зная будущих вирусов, действительно очень сложно. И это всемирная проблема. Для ее решения созданная международная некоммерческая организация OWASP (Open Web Application Securitu Project). Сообщество профессионалов занимается классификацией векторов атак и уязвимостей и улучшением безопасности программного обеспечения. Они создали список из 10 самых опасных направлений кибератак, так называемых OWASP TOP-10. Это открытая информация, которой пользуются и ведущие поставщики программного оборудования для строительства. Компании регулярно проверяют свои продукты по всем категориям взлома.
Как выбрать поставщика софта?
В работе с поставщиками программного продукта, как и с любыми поставщиками, нужно подбирать контрагента тщательно. Крайне важно убедиться, что система, которую вы внедряете, имеет ограничения по правам доступа, что вы правильно настроили все права перед тем, как загружать туда какие-то данные и подключать пользователей. Также желательно выбирать тот продукт, где возможно автоматическое копирование всех материалов на какой-либо носитель на предприятии. И пренебрегать резервным копированием не стоит.
Недавно жизнь подсказала ещё одно правило. Американская компания Oracle с флагманским продуктом Primavera, системой проектного управления, на которой работает, по сути, вся нефтегазовая отрасль России, заявила, что в связи с введением санкций не готова продолжать поддержку своего продукта для ряда российских компаний. Вероятнее всего, это повлечёт за собой дальнейший переход на аналогичный софт российских производителей, благо разработчики из нашей страны уже вполне успешно конкурируют на мировом уровне. Но переход этот будет крайне дорогостоящим и длительным, поскольку перенастройка процессов и цена возможных ошибок крайне высока. В ближайшей перспективе вряд ли стоит ожидать снятия санкций, так что в строительстве изначально стоит задуматься о внедрении российского продукта и проверить возможность хранения всей информации на российских серверах.
В завершении хочется сказать, что, судя по изменениям, происходящим в строительной отрасли России, профессионалы начинают признавать удобство специализированных программ для стройки. Понятнее становится и главный вопрос – обеспечение безопасности, к которой закономерно предъявляются высокие требования. Эксперты IT-сферы считают, что на данный момент гораздо большим тормозом применения цифровых технологий является не обеспечение безопасности, а восприятие. Средний возраст строителя, принимающего решение о внедрении ИТ-решений, перевалил за 45. Как правило, с течением времени нам все сложнее принимать изменения. Через несколько лет сменится поколение, и тогда вопросы безопасности из обсуждаемых для принятия решения о покупке станут гигиеническими требованиями.